linux手册翻译——iptables(8)

Posted 2023-03-28

参考技术A

iptables - 用于 IPv4 /IPv6数据包过滤和 NAT 的管理工具

iptables [-t table] -A|-C|-D chain rule-specification

iptables 和 ip6tables 用于在 Linux 内核中设置、维护和检查 IPv4 和 IPv6 包过滤规则的表。 可以定义几个不同的表。 每个表包含许多内置链，也可能包含用户定义的链。
每个链都包含了一个规则列表，可以匹配一组数据包。 每个规则都指定如何去处理匹配的数据包，即 Target ,如下图所示，表中有五个链：PREROUTING，INPUT，POSTROUTING，OUTPUT和DOCKER，其中链POSTROUTING拥有两个匹配规则，他们的Target分别是MASQUERADE和SNAT，即进行网络地址转换，链OUTPUT只有一条规则，其target是DOCKER，即数据包要交给链DOCKER进行进一步匹配处理。

数据包将在链上依次匹配规则，若不匹配，则检查下一条，若匹配，则根据target，执行下一步操作。target的至可能是其他链的名字(如上面的DOCKER)，则此时将数据包交给此链进行规则匹配；target还可能是其他特殊值：ACCEPT、DROP或 RETURN 之一。

如果到达内置链的末端或匹配带有目标 RETURN 的内置链中的规则，则链的策略将决定数据包的命运。链的策略在上图中，每个内置链名称后的括号中体现。

目前有五个独立的表（存在哪些表取决于内核配置选项和存在哪些模块）。

-t, --table table
此选项指定命令应操作那个数据包匹配表。 如果内核配置了自动模块加载，则将尝试加载该表的适当模块（如果该模块尚不存在）。
三个表包括：

iptables 和 ip6tables 识别的Options可以分为几个不同的类别：

这些选项指定要执行的所需操作。 除非下面另有说明，否则只能在命令行上指定其中之一。 对于长版本的命令和选项名称，您只需要使用足够多的字母以确保 iptables 可以将其与所有其他选项区分开来。

以下参数构成规则规范（ rule-specification 在添加、删除、插入、替换和追加命令中使用）。

可以指定以下附加选项：